El miedo puede ser un arma poderosa y los estafadores saben cómo infundirlo y coaccionar para que alguien realice acciones precipitadas. En el ciberespacio, una forma habitual de hacerlo es a través de algo llamado scareware.

El scareware es un engaño clásico que se aprovecha de nuestros miedos, haciéndonos creer que hemos sido víctimas de lo que popularmente se conoce como "virus informático" —actualmente denominado mejor "malware"—. Se aprovechan del temor a los problemas de ciberseguridad que pueden afectar a nuestros dispositivos con el objetivo de llevarnos por un camino en el que finalmente se hacen realidad este temor.

Afortunadamente, la cabeza fría y la precaución son una potente defensa.

¿Qué es el scareware?

¿Alguna vez te han bombardeado la pantalla de tu ordenador o dispositivo con ventanas emergentes que te advierten de un peligro de malware? Entonces es probable que te hayas topado con scareware. Se trata de una estafa en la que se convence a la víctima de que su equipo está infestado de malware y se la engaña para que pague por un "software antivirus" que no necesita, facilite sus datos personales y financieros o instale malware real.

El scareware puede distribuirse de varias formas:

  • Ventanas emergentes: Se abren automáticamente al hacer clic en un enlace, visitar una página web o abrir una aplicación específica. Pueden decir que su ordenador está infectado con un malware peligroso que puede hacer que se bloquee en cualquier momento. La única forma de remediar la situación es hacer clic en la ventana emergente para descargar una herramienta antivirus inexistente.
  • Correos electrónicos y mensajes de redes sociales: Los correos electrónicos no solicitados pueden intentar el mismo truco, persuadiéndote para que actúes rápido para limpiar una reciente infección de malware detectada en tu máquina/dispositivo. Incluso pueden proceder de direcciones de correo electrónico legítimas pero falsificadas. Sin embargo, si sigues el enlace o haces clic en el botón incrustado, te llevará a un sitio o descarga realmente maliciosos.
  • Malvertising: Los anuncios maliciosos en sitios legítimos o plataformas de redes sociales pueden hacer lo mismo, instando al usuario a hacer clic para descargar "software antivirus" y eliminar el "malware" inexistente en su ordenador o dispositivo móvil.
  • Llamadas al servicio técnico: A veces, las ventanas emergentes o los mensajes pueden incluir un número de asistencia técnica al que llamar y que le llevará a un centro de llamadas fraudulento. El equipo estará preparado para decirle que su ordenador o dispositivo está en peligro. Puede que le pidan que descargue un software de acceso remoto para poder "solucionar" el problema. En realidad, lo que buscan es recopilar sus datos personales y/o timarle para que pague por un software que es poco más que un programa de relleno.

En otras ocasiones, los estafadores del servicio técnico pueden llamar de improviso con una mentira similar. Estas estafas llevan produciéndose más de una década, y en 2023 fueron el tercer tipo de ciberdelincuencia con mayor recaudación: los estafadores obtuvieron más de 924 millones de dólares, según el FBI.

Figura 1. Ejemplo de falsa alerta de "daños en el sistema

Todo está en la mente

El scareware utiliza técnicas clásicas de ingeniería social, como las que se ven a menudo en los mensajes de phishing. Tratan de apresurar a la víctima para que tome una decisión sin darle tiempo a pensar. La advertencia es palpable y pretende crear una sensación de urgencia: por ejemplo, "Actúe AHORA o sus archivos y fotos podrían corromperse PARA SIEMPRE".

Los estafadores fortalecen la sensación de urgencia con imágenes rojas parpadeantes, texto en mayúsculas e incluso mostrando capturas de pantalla ficticias de los supuestos archivos infectados. También pueden mostrar una barra de progreso de la máquina que se está escaneando.

Por último, la ingeniería social se basa en persuadir a la víctima de que el mensaje procede de una fuente legítima. Así que los estafadores harán todo lo posible por imitar la marca y los nombres de proveedores de seguridad legítimos, utilizando nombres como "DriveCleaner", "Antivirus360", "PC Protector" y "Mac Defender".

Figura 2. Otro ejemplo de alerta falsa

¿Qué puede hacer el scareware?

En el mejor de los casos, podrías gastar dinero en bloatware inútil (software de relleno, o inflado), pero al menos ahí acabaría la estafa. En el peor de los casos, los delincuentes recopilarán tus datos personales y financieros para utilizarlos en posteriores fraudes de identidad. O, al hacer clic en el enlace o anuncio, se instalará un spyware diseñado para robar información o ransomware para bloquear el dispositivo y luego precionarte a pagar un rescate para desbloquearlo.

Cómo mantenerse alejado del scareware

No es difícil mantenerte a salvo del scareware y algunas consejos a seguir cuando te copes con una alerta de este tipo son:

  1. No te dejes llevar por el miedo y nunca hagas clic en la ventana emergente. Si no reconoces el nombre de la supuesta herramienta antivirus, busca su nombre en una fuente de confianza como Google para verificar su legitimidad.
  2. Cierra el navegador y/o desconéctate de Internet en lugar de hacer clic en la alerta. En Windows, lo primero puede hacerse pulsando Control-Alt-Supr, seleccionando el Administrador de tareas y eliminando la tarea del navegador. En Mac, pulsa Comando-Opción-Salir para abrir la ventana Forzar salida. Otra opción es apagar el dispositivo. En cualquier caso, evita hacer clic en la falsa "X" o en el botón "Cerrar" de la ventana emergente, ya que podría instalar malware en lugar de cerrar la ventana.
  3. Utiliza bloqueadores de ventanas emergentes/anuncios de confianza para reducir las posibilidades de que aparezca scareware en tu pantalla. Muchos de estos bloqueadores detienen las ventanas emergentes maliciosas antes de que lleguen a usted.
  4. Mantén los navegadores y programas informáticos actualizados y en la versión más reciente y segura. Las versiones antiguas son más susceptibles de ser explotadas.
  5. Instala software de seguridad legítimo de un proveedor de confianza para bloquear el scareware, y recuerda mantenerlo actualizado con la última versión.
  6. Infórmate sobre el aspecto de las alertas legítimas del software de seguridad de su elección para poder distinguirlas fácilmente de las procedentes de scareware.
  7. Recuerda que los proveedores legítimos de software de seguridad no inundarán su pantalla con un aluvión de ventanas emergentes.

Cómo eliminar scareware

Si tu dispositivo o equipo se ve afectado por scareware, eliminarlo no debería suponer un gran problema. No se trata de malware real así que ejecuta la herramienta de seguridad legítima para buscarlo y seguí las instrucciones para eliminarlo.

También puedes buscar el scareware manualmente. En Windows 10: Busca "Agregar o quitar programas" y desinstálalo de la lista que aparece. En Mac, busca el scareware en la categoría Aplicaciones de la ventana del Finder. Haz clic con el botón derecho y arrástralo a la Papelera, luego vacía la Papelera. También deberías cambiar las contraseñas de todas las cuentas de correo electrónico y servicios financieros.